Назад | Перейти на главную страницу

Пул приложений IIS не запускается с идентификатором gMSA, если он впервые используется по прошествии количества дней в msDS-ManagedPasswordInterval

До недавнего времени мы без проблем использовали групповые управляемые учетные записи служб (gMSA) в нашей среде. Мы развернули несколько приложений в производственной среде, где gMSA были созданы около 60 дней назад, но еще не использовались. В атрибутах gMSA значение по умолчанию msDS-ManagedPasswordInterval составляет 30 дней.

Когда install-adserviceaccount запускался как часть сценария развертывания, атрибуты pwdLastSet, msDS-ManagedPasswordId и msDS-ManagedPasswordPreviousId обновлялись, но затем пул приложений продолжал не запускаться, и мы видели обновление badPasswordTime при каждой попытке запуска. Проблема была устранена путем повторного запуска install-adserviceaccount, который предположительно получил правильный пароль из AD. Мы наблюдали такое поведение с несколькими учетными записями, в которых количество дней, когда он был впервые использован, превышал 30 дней. Мы не видели этой проблемы, если учетная запись использовалась в течение 30 дней с момента создания (более 150 учетных записей).

Другая переменная заключается в том, что мы выполняем развертывание в среде с балансировкой нагрузки, поэтому gMSA может быть установлен на нескольких серверах одновременно. Не все серверы имели проблемы с одним и тем же gMSA.

Нам не удалось воспроизвести эту проблему с помощью ручного тестирования, кроме запуска наших скриптов, поэтому мне интересно, есть ли состояние гонки между изменяемым паролем и паролем, полученным из активного каталога до полной синхронизации изменения. Есть ли способ проверить, так ли это?

Кто-нибудь еще сталкивался с таким поведением?

Все целевые серверы и контроллеры домена (5) работают под управлением Windows Server 2012 R2 и полностью исправлены. Функциональным уровнем домена также является Windows Server 2012 R2.